Mobilní krysa Pegasus odposlouchávala novináře. Přitom má chránit před teroristy

4 měsíce starý 17

Jednou z hrozeb pro současné chytré telefony jsou krysy – RATs (Remote Access Trojans), které dokážou odposlouchávat dění na mobilu.

Ty nejjednodušší často ani nemusejí využívat žádných sofistikovaných zranitelnosti, ale jen se vydávají za něco jiného a spoléhají na to, že jim nepozorný uživatel předá maximum práv. Stručně řečeno vás budou moci odposlouchávat jen díky tomu, že jste k tomu sami dali nevědomky souhlas.

Podobných krys je plný internet a občas proniknou i do oficiálních mobilních katalogů – zvláště do Play Storu, byť se tomu Google snaží nadobro zabránit stále pokročilejším auditováním.

Pegasus

Aktuálně světovými médii prolétla zpráva o jedné z těch sofistikovanějších a pečlivě cílených. Jen tak na ni nenarazíte. Říká se ji Pegasus a stojí za ní izraelská bezpečnostní společnost NSO Group.

Pegasus má sloužit bezpečnostním složkám k legitimním odposlechům nepřítele, poslední roky se však s železnou pravidelností objevují zkazky o tom, že se obětí stali i nejrůznější pracovníci v neziskového sektoru, představitelé opozice, novináři a další bezúhonní lidé.

Klepněte pro větší obrázek
Profesionální malware může s právy či skrze zranitelnost získat detailní údaje o telefonu

Firma totiž svůj software podle kritiků prodává i autoritářským režimům.

Poslední případ zmapoval tým z bezmála dvaceti médií, který analyzoval seznam 50 tisíc uniklých telefonních čísel, v nichž pravděpodobně figurovaly i oběti tohoto profesionálního malwaru z let 2016-2020. Za Česko zprávu publikoval web Investigace.cz.

Pegasus je nástroj vzdáleného přístupu (RAT) s funkcemi spywaru. Jeho varianty pro Android jsou schopné extrahovat data z populárních chatovacích aplikací, jako je WhatsApp, Facebook a Viber, či z e-mailových klientů a prohlížečů. Spyware dokáže nic netušící uživatele na dálku sledovat prostřednictvím mikrofonu a kamery telefonu a kromě toho může pořizovat i snímky obrazovky nebo zaznamenávat psaní textu na klávesnici. Kvůli těmto funkcím jde o velmi nebezpečný nástroj.

Od roku 2016 jsme zaznamenali a zablokovali řadu pokusů spywaru Pegasus proniknout do zařízení se systémem Android, nejvíce jich bylo v roce 2019. Avast jej však dokáže zablokovat stejně, jako jakýkoliv jiný spyware. Pegasus je oproti jiným spywarům na Android málo rozšířený. Útočníci jej evidentně velmi přesně cílí na několik konkrétních osob s cílem je sledovat, což je opačný přístup, než u klasického spywaru, který se šíří masově, protože jeho účelem je nasbírat co největší množství uživatelských dat. Nízké rozšíření spywaru Pegasus jej však nečiní méně nebezpečným, jelikož dopad na soukromí takto sledovaných osob může být velmi vysoký.

Jakub Vávra, analytik mobilních hrozeb Avastu

Zpočátku cílil hlavě na iPhone

NSO Group má zaměstnávat experty na zero-day zranitelnosti (ty, o kterých se ještě neví), na nichž může stavět svoje produkty do chvíle, než chybu objeví i hodný white-hat hacker a informuje výrobce.

Mnohé firmy programátory motivují tučnou odměnou v tzv. bounty programech podle závažnosti chyby, kterou odhalí. Takový Google nabízí ve svém ceníku odměn až 31 tisíc amerických dolarů.

První generace spywaru Pegasus pro OSX/iOS stavěla především na zranitelnostech jablečného kernelu CVE-2016-4655 a CVE-2016-4656 a na zranitelnosti ve Webkitu CVE-2016-4657, které později Apple opravil třeba v rámci aktualizace iOS 9.3.5.

Postižené iPhony figurují i v čerstvé zprávě mezinárodního týmu novinářů. Experti později vystopovali i verzi pro Android, jejíž vektor útoku se ale od podoby na telefonech Applu v mnoha ohledech lišil.

Zdroj